30.07.2007 | Autor / Redakteur: David Jacobs / Andreas Donner
Virtuelle Netzwerke sind das Rückgrat virtueller Systeme, da sie alle Server und Speicher verknüpfen, aus denen ein virtuelles System gebildet wird. Virtuelle Netzwerke – und somit auch virtuelle Systeme – sind jedoch häufig auf ein einziges Gebäude begrenzt. Mit virtuellem Routing und Forwarding (VRF) ist es möglich, ein virtuelles System einzurichten, dessen Komponenten über mehrere Standorte verteilt sind.
Virtuelle Systeme sind weitverbreitet. Die Hauptgründe hierfür sind Flexibilität und Kostenersparnis: Administratoren können mit virtuellen Netzwerken physische Verbindungen in mehrere virtuelle Verbindungen unterteilen. Hierbei ist jede virtuelle Verbindung von den anderen vollständig isoliert. Üblicherweise wird ein virtuelles Netzwerk für den Datenverkehr einer bestimmten Anwendung oder einer bestimmten Anwendergruppe reserviert.
Im Verlauf eines Tages kommen verschiedene Anwendungen im Netzwerk zum Einsatz, die Netzwerkauslastung variiert und die Netzwerkverkehrsmuster ändern sich. Administratoren eines virtuellen Netzwerks können den Teil der Bandbreite, der einer Anwendung zugewiesen ist, verändern. Außerdem lassen sich für den Fall, dass die Bandbreite einer einzigen physischen Verbindung nicht ausreicht, mehrere physische Verbindungen zusammenfassen.
In den 90er Jahren entwickelte und vereinheitlichte das IEEE Verfahren, mit denen sich Local Area Networks (LANs) in mehrere virtuelle Netzwerke unterteilen lassen. Diese Verfahren haben sich mittlerweile weitgehend durchgesetzt.
Der IEEE-Standard 802.1q definiert, wie ein einzelnes LAN in mehrere virtuelle LANs (VLANs) unterteilt wird. Er wird in Verbindung mit dem IEEE-Standard 802.1p verwendet, der für den Netzwerkverkehr acht Prioritätsstufen festlegt. Indem Administratoren entsprechende Prioritäten setzen, können sie jeder Anwendung die nötige Bandbreite zur Verfügung stellen.
Eines muss bei der „Weitverkehrsvernetzung“ mit VLANs jedoch beachtet werden: Ein VLAN spielt sich im Layer 2 des ISO/OSI-Modells ab. Es gibt zwar Verfahren, ein Layer-2-Netzwerk zu einem WAN zu erweitern, jedoch ist ein VLAN eine Broadcast-Domäne. Der tatsächliche Durchsatz einer Broadcast-Domäne sinkt, wenn sie mit zu vielen Netzknoten und zu hohem Verkehr belastet wird. Damit ein großes VLAN leicht zu handhaben bleibt, muss es mit Layer-3-Routingprotokollen in Teilbereiche gegliedert werden.
VRF verwandelt einen Router oder einen Layer-3-Switch in mehrere unabhängige virtuelle Geräte. Jeder virtuelle Router ist für sein spezielles virtuelles Netzwerk zuständig.
Virtuelle Router unterstützen Standard-Routingprotokolle wie OSPF oder BGP. Das Routingprotokoll eines virtuellen Routers arbeitet völlig unabhängig von den Routingprotokollen, die in anderen virtuellen Routern im selben physischen Gerät zum Einsatz kommen. Jeder virtuelle Router führt gesonderte Routing- und Forwarding-Tabellen. Es ist nicht notwendig, dass alle virtuellen Router dieselben Protokolle unterstützen.
Da virtuelle Netzwerke vollständig voneinander getrennt sind, müssen auch Funktionen wie Network Address Translation (NAT) und Firewall in jedem virtuellem Netzwerk gesondert zur Verfügung stehen. NAT und Firewall eines mit VRF ausgerüsteten Routers arbeiten innerhalb eines virtuellen Routers, d.h., jedes virtuelle Netzwerk kann seine eigene Firewall-Konfiguration und seinen eigenen IP-Adressraum erhalten.
Ein MPLS-Netzwerk verbindet häufig die Standorte innerhalb eines WANs. Netzwerkmanager sind mit MPLS in der Lage, Bandbreiten und Quality of Service (QoS) sicherzustellen. Ein oder mehrere CE-Router (Customer Edge Router) etablieren eine Verbindung mit dem MPLS-Netzwerk an einem oder mehreren PE-Routern (Provider Edge Routern). Hierfür müssen CE- und PE-Router VRF unterstützen.
Bei der einfachsten Konfiguration werden CE-Router jeweils einem eigenen virtuellen Netzwerk zugeordnet. In einem solchen Fall ist es jedoch nicht möglich, Bandbreite von einem virtuellen Netzwerk auf ein anderes umzuschichten. Um dies zu ermöglichen, kann sich ein einzelner CE-Router über eine physische Leitung mit einem einzelnen PE-Router verbinden. Sämtlicher Verkehr aller virtuellen Netzwerke durchläuft diese Leitung, sodass die Bandbreitenzuteilung je nach Auslastung angepasst werden kann. In jedem Router lassen sich virtuelle Netzwerke innerhalb einer Schnittstelle als Unterschnittstellen konfigurieren.
Bei der gebräuchlicheren Variante verbinden sich mehrere CE-Router mit mehreren PE-Routern. Diese Lösung erhält die Möglichkeit des Bandbreiten-Managements und gewährt zusätzlichen Schutz bei Verbindungsstörungen, da in diesem Fall alle CE- und PE-Router sämtliche virtuellen Netzwerke unterstützen. Die Verbindungstechnologie ist für VRF unerheblich. Es kann jegliche Technologie gewählt werden, die den benötigten maximalen Durchsatz ermöglicht.
In Fällen, in denen es auf Verschlüsselung und Authentifizierung ankommt, sind VLANs nicht die erste Wahl. Hier eignen sich Tunnelprotokolle wie IPsec besser. Nehmen wir an, in einem fernen Gebäude arbeitet ein einziger Mitarbeiter, dem der Zugriff auf die zentrale Personaldatenbank erlaubt ist. Die sensiblen Informationen in dieser Datenbank erfordern einen gesicherten Zugang.
Ein IPsec-Tunnel transportiert den Datenverkehr vom Arbeitsplatzrechner des Mitarbeiters zu einem Router mit VRF-Funktionen. Der Tunnel ist – wie ein VLAN auch – im Router als Unterschnittstelle konfiguriert. Der Datenverkehr läuft durch das WAN zu einem weiteren Router mit VRF-Unterstützung und schließlich über eine verbundene Leitung zur Personaldatenbank.
VRF-fähige Layer-3-Switches können für die Verbindung von VLANs innerhalb eines Campus-LANs verwendet werden. Wenn ein campusweites virtuelles Netzwerk für eine Broadcast-Domäne zu groß wird, muss es unterteilt werden. Layer-3-Switches mit VRF-Funktionen werden eingesetzt, um ein virtuelles Netzwerk in überschaubare VLANs zu unterteilen.
Da Administratoren immer mehr Erfahrung sammeln, wachsen auch die virtuellen Systeme und damit die Zahl der Server und Speicher, die sich im WAN verteilen. VRF ist die geeignete Methode für die Gliederung virtueller Netzwerke, die virtuelle Server und Speicher verbinden.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2006445)
